Ну, с кем не бывало. Большинство из нас ловили баннеры на рабочий стол. И со мной последний раз это приключилось зимой, уже не помню в каком месяце. Я тогда был в родном городе пока проходил призывную комиссию, и всё это время я пользовался не своим компьютером.
И вот, перед самым отъездом, я записывал последние из скачанных нишяков на флешки и диски, когда внезапно мой десктоп предстал передо мной в совершенно новом виде — без окон без дверей, иконок и пусков — только голые попы и писи.
Что делать? Ни один из LiveCD, что был под рукой, не был рабочим. А если ещё прибавить поглюкивающий привод, то у меня отпала всякая надежда на лучший исход. Курсор ограничен в движении в пределах баннера, все глобальные горячие клавиши заблокированы. Комп чужой, а хозяин — чувак образованный и опытный.
Без особой надежды безрезультатно гружусь сначала в безопасный режим. Потом в него же с поддержкой командной строки. И тут я понимаю — я спасён.
Ниже — подробная инструкция как избавиться от WinLock’a без LiveCD. Писал по ХРюше, но актуально и для семёрки и наверняка для свисты.
Сначала прочти пост до конца. Ничего не предпринимай, пока не всё прочтёшь. Это важно.
Подготовка
Загружаешь систему в безопасном режиме с поддержкой командной строки. По окончании загрузки будет лишь курсор и консоль. Вводишь в консоль regedit. Появится редактор реестра.
Дальше устраиваем прогулку по ключам.
Чистка реестра
\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogonОбрати внимание на значения ключей UserInit, UIHost и Shell. Запомни их, запиши в какой-нибудь текстовый файлик. Это пригодится.
После этого выставляй значения так:
UserInit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exeОстальные ключи не должны быть затронуты.
Дальше открываем другие ветки:
\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Run,
\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\RunOnce,
\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\RunOnceEx,
\HKCU\Software\Microsoft\Windows\CurrentVersion\Windows\RunВо всех ветках должно быть либо совсем пусто, либо ничего подозрительного. В идеале нужно очистить их целиком, а лучше сначала создать копии этих веток с другими именами (например, добавить суффикс .bak), чтобы позже изучить подробнее.
В этой ветке:
\HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Systemудаляешь ключ DisableTaskMgr: если он есть, значит Диспетчер задач в твоей системе заблокирован.
Чистка файлов
Оригинальные файлы logonui.exe, explorer.exe и userinit.exe могут быть заменены на подставные или иметь то же название и иконку, но иметь другой размер. Поэтому привожу список размеров этих файлов и их расположений какими они должны быть:
- Windows XP:
C:\WINDOWS\system32\userinit.exe — 26624 байта (26 кб)
C:\WINDOWS\explorer.exe — 1034240 байт (1,01 мб)
C:\WINDOWS\system32\logonui.exe — 515072 байт (503 кб)
C:\WINDOWS\system32\svchost.exe — 14336 байт (14 кб)
C:\WINDOWS\system32\taskmgr.exe — 139264 байт (13,59 кб)
- Windows Vista:
C:\WINDOWS\system32\userinit.exe — 24576 байта (24 кб)
C:\WINDOWS\explorer.exe — 2923520 байт (2,78 мб)
C:\WINDOWS\system32\logonui.exe — 9216 байт (9 кб)
C:\WINDOWS\system32\svchost.exe — 22016 байт (21,5 кб)
C:\WINDOWS\system32\taskmgr.exe — 163840 байт (160 кб)
- Windows 7:
C:\WINDOWS\system32\userinit.exe — 26624 байта (26 кб)
C:\WINDOWS\explorer.exe — 2616320 байт (2,49 мб)
C:\WINDOWS\system32\logonui.exe — 10752 байт (10,5 кб)
C:\WINDOWS\system32\svchost.exe — 20992 байт (20,5 кб)
C:\WINDOWS\system32\taskmgr.exe — 227328 байт (222 кб)
Теперь вернись к тем значениям, которые были ранее установлены в ключах UserInit, UIHost и Shell — сходи по этим путям и удали эти файлы.
Для этого можно в консоли же набить explorer и безо всяких проблем прогуляться по системным и юзерским папкам через Проводник. Только не забудь сразу включить «Отображение скрытых папок/файлов» и «Отображение расширений файлов» в параметрах Проводника.
Сами винлоки или их куски, как правило, также находятся в папке с Temp‘ами: где-нибудь в Documents and settings, в папке другого профиля, а может и в системных папках.
Теперь необходимо перестраховаться и удалить (впрочем, в любом случае надо) все Temp‘ы, Cookie и всякий мусор из под IE.
Полностью опустошаешь:
C:\WINDOWS Temp
C:\Temp
C:\Documents and Settings\[имя юзера]\Local Settings\Temp
C:\Documents and Settings\[имя юзера]\Cookies
C:\Documents and Settings\[имя юзера]\Local Settings\Temporary Internet Files
C:\Documents and Settings\[имя юзера]\Local Settings\HistoryЭто же касается Default User, Администратора и всех остальных учёток.
Составлено, исходя из собственного опыта. Должно работать практически со всеми WinLock’ами, ну, а если сие не помогло — сдавайтесь без боя.
Ещё можно попробовать ADWCleaner. Он делает аналогичные действия и даже больше.